加密支付提供商CoinsPaid 遭朝鲜黑客攻击细节：假招聘、贿赂和操纵员工

2023 年 7 月 22 日，加密支付提供商 CoinsPaid 被黑客盗取了 3730 万美元。据安全公司调查，攻击者为 Lazarus 黑客团队。本文为 CoinsPaid 所撰写的黑客攻击细节，以为其他加密从业者提供宝贵经验。

与攻击相关的 Lazarus 黑客团队

根据我们的内部调查，我们有理由怀疑顶级黑客组织 Lazarus 可能是对 CoinsPaid 进行攻击的幕后黑手。黑客使用了 Lazarus 在最近的 Atomic Wallet 攻击案件中所用的相同策略和洗钱方案。

Lazarus 组织被媒体宣传为“当今全球顶级网络威胁组织”，在世界各地开展黑客活动。尽管成员的数量和他们的名字尚未得到确切确定，但这个网络犯罪组织与朝鲜政府有关。

从 2009–2013 年，“特洛伊行动”是 Lazarus 发起的第一次重大攻击，针对的是美国和韩国的政府网站。

2014 年，Lazarus 因其对索尼影业的黑客攻击而获得全球认可：肇事者释放了公司的机密文件，包括关于员工、他们的工作合同甚至他们的家庭成员的信息。

2017 年，Lazarus 再次出手：WannaCry 勒索软件攻击是 2017 年 5 月的全球性网络攻击，目标是运行 Microsoft Windows 操作系统的计算机，通过加密数据并要求比特币赎金。该次黑客攻击持续了 4 天，并导致全球范围内超过 300,000 台计算机被感染。

随着加密市场越来越受欢迎并在资本化中增长，Lazarus 团队开始针对众多加密货币平台。到目前为止，受害公司的名单包括超过 20 家公司，其中包括 Axie Infinity (6.25亿美元)、Horizon Bridge (1亿美元) 和 Atomic Wallet (1亿美元)。

关于 Lazarus 的长期目标和攻击频率增加的原因有很多猜测。许多专家认为，该团队的活动是朝鲜希望获得外汇的延伸。

黑客花了 6 个月的时间跟踪和研究 CoinsPaid

我们现在知道，Lazarus 花了半年的时间试图渗透 CoinsPaid 系统并查找漏洞。

● 自 2023 年 3 月以来，我们不断记录到针对公司的各种类型的未成功攻击，从社会工程到 DDos 和暴力破解。

● 在 2023 年 3 月 27 日，CoinsPaid 的主要工程师收到了来自一个所谓的乌克兰加密处理创业公司的请求，该请求包含了关于技术基础设施的一系列问题，这已经得到了公司的 3 位主要开发人员的确认。

● 在 2023 年 4–5 月，我们经历了 4 次针对我们系统的主要攻击，目的是获得 CoinsPaid 员工和客户的账户访问权限。针对我们团队成员的垃圾邮件和网络钓鱼活动持续不断且极具攻击性。

● 在 2023 年 6–7 月，进行了一场涉及贿赂和假雇佣关键公司人员的恶意活动。

● 在 2023 年 7 月 7 日，针对 CoinsPaid 的基础设施和应用程序进行了一次大规模、精心计划和准备的攻击。从 20:48 到 21:42，我们记录了异常高的网络活动：涉及了超过 150,000 个不同的 IP 地址。

犯罪者的主要目标是诱骗关键员工安装软件来远程控制计算机，从而渗透和访问 CoinsPaid 的内部系统。经过 6 个月的失败尝试，黑客们终于在 2023 年 7 月 22 日成功地攻击了我们的基础设施。

社会工程 — — 2023 年“最危险”的安全威胁

由于不可能在未获得员工计算机访问权限的情况下从外部入侵 CoinsPaid 系统，攻击者使用了高度复杂且有力的社交工程技术。根据 CS Hub 的研究结果，75% 的网络安全专家认为社交工程和网络钓鱼攻击是网络安全方面的头号威胁。

假冒 LinkedIn 招聘、贿赂和操纵员工

来自加密货币公司的招聘人员通过 LinkedIn 和各种消息传递工具联系了 CoinsPaid 的员工，提供了非常高的薪酬。例如，我们的一些团队成员收到了月薪为 16,000–24,000 美元的工作邀约。在面试过程中，罪犯试图诱使候选人安装 JumpCloud Agent 或一个特殊程序以完成技术任务。

JumpCloud 是一个目录平台，允许企业验证、授权和管理用户和设备，据说在 2023 年 7 月被 Lazarus Group 黑客入侵，目的是针对其加密货币用户。

尽管您可能认为在员工的计算机上尝试安装恶意软件是明显的，但黑客花了 6 个月的时间了解 CoinsPaid 的所有可能细节、我们的团队成员、我们公司的结构等等。像 Lazarus 这样的顶级黑客团队能够创建一个完全可信的故事来利用潜在的目标。

逐步追踪攻击步骤

在现代高度数字化的世界中，欺骗一个人比欺骗计算机软件容易得多。通过操纵 CoinsPaid 的一名员工，黑客成功地攻击了我们的基础设施。

1. 我们的一名员工回应了来自 Crypto.com 的工作邀请。

2. 在参与面试时，他们收到了一个测试任务，该任务要求安装带有恶意代码的应用程序。

3. 打开测试任务后，从计算机上窃取了资料和密钥以与公司的基础设施建立连接。

4. 获得对 CoinsPaid 基础设施的访问权限后，攻击者利用集群中的一个漏洞并打开了一个后门。

5. 在探索阶段，知识犯罪者获得的信息使他们能够复制与区块链的交互接口的合法请求，并从我们的运营存储库中提取公司的资金。

简单来说，黑客获得了访问权限，允许他们创建授权请求，从 CoinsPaid 的热钱包中提取资金。这些请求被视为有效，并被发送到区块链进行进一步处理。然而，肇事者未能突破我们的热钱包并直接获取私钥以访问资金。

内部安全措施触发了警报系统，使我们能够迅速阻止恶意活动，并将黑客赶出公司的范围。

区块链评分对抗洗钱效果不佳

尽管许多加密货币公司采用 KYC 措施并使用区块链风险评分系统来检测可疑活动，但肇事者仍成功地洗钱。原因如下：

按照任何黑客事件后的标准程序，CoinsPaid 通知了所有主要的交易所和网络安全公司该事件，提供有关黑客地址的信息。然后，它们被包括在一个标记中，在社区中共享，以防止与这些地址相关的资金的进一步移动和洗钱。

然而，当移动资金到后续地址时，分发标记需要多达 60 分钟。根据我们的调查结果，CoinsPaid 的黑客在标记跟上肇事者的行动之前，只需几分钟就将资金转移到新地址。

这一漏洞使得区块链评分在预防和最大限度地减少 2023 年黑客组织洗钱计划的影响方面基本上无效。

资金追踪：追踪并阻止被盗资金

为协助调查，CoinsPaid 与 Match Systems 建立了合作关系，后者是网络安全领域的领导者，专门从事区块链分析，并与执法机构和监管机构合作，陪同归还被盗的加密资产的过程。在 Match System 专家的帮助下，已经在数十起刑事案件中追回了超过 7 千万美元。

攻击发生后立即进行了一系列操作性措施，以跟踪并有可能冻结被盗资金。

步骤 1：所有主要的区块链分析器都将黑客的地址列入黑名单。

步骤 2：向所有主要的加密货币交易所和 AML 官员发送了紧急通知，告知他们包含被盗资产的黑客地址。

步骤 3：黑客的地址被列入 Match Systems 的观察名单。

在采取了必要措施增加临时阻止被盗资金的可能性后，Match Systems 的专家继续通过区块链分析器、原生浏览器和公司自己的工具跟踪资金流向。一旦资金通过交易所和交换服务流通，就会对攻击者的地址进行额外标记，以查看资金是否已跨链移动。

绝大部分资金被提取到 SwftSwap

基于上述的步骤，我们能够完全跟踪到被盗的资金。绝大部分资金以 Avalanche-C 区块链上的 USDT 代币的形式被提取到 SwftSwap 服务。此后，部分资金在第二轮被发送到以太坊区块链，并进一步转移到 Avalanche 和比特币网络。

事实上，SwftSwap 上的大部分资金被提取到攻击者的大额交易地址。这些相同的地址被用于从 Atomic Wallet 转移被盗资金，这给了我们更多的理由相信 Lazarus 可能是此次攻击的责任方。

到目前为止，CoinsPaid 黑客的洗钱活动仍在进行中，我们将继续与 Match System 专家紧密监测这条线索。

损失了 15% 在费用和价格波动上

初步估计显示，被盗资金中的相当大部分很可能因黑客的“运营成本”而损失。

● 10% 用于一次性大量代币的“市场”交换：卖家从订单簿中收集了大部分交易，导致了巨大的价格滑点。最大的损失发生在黑客最初用 USDT 兑换 TRX 时。

● 5% 在佣金、出售有疑问历史的代币的折扣和其他费用上。这也包括在交易所和支付服务上购买为“drops”注册的账户的额外成本，以及黑客和远程管理程序。

Lazarus 黑客在 Atomic 钱包攻击中使用了类似的策略

Match System 的专家发现了 Lazarus 在其最近对 Atomic Wallet 进行的1亿美元攻击中之前使用的类似模式。

1. 使用相同的 Swap 服务和混币器

黑客利用 swap 服务，如 SunSwap、SwftSwap 和 SimpleSwap，以及 Sinbad 加密货币混合器，在没有任何 KYC 和 AML 程序的情况下洗白非法获得的资金。

Sinbad 的交易量图显示在两次攻击期间操作量出现了明显的峰值，并且集群上的余额出现了明显的波动。

2. 通过 Avalanche Bridge 提取被盗资金

在 CoinsPaid 和 Atomic 钱包的黑客攻击中，大部分被盗资金都以 USDT 的形式发送到了 Avalanche-C 上的 SwftSwap 加密货币服务。少部分被盗资金被发送到了 Yobit 交易所。

与 Sinbad 混合器一样，SwftSwap 服务的交易量图表在 Atomic Wallet 和 CoinsPaid 的攻击期间显示了交易数量的明显增加。

从黑客攻击中学到的教训

这次不幸的事件为 CoinsPaid 提供了一些宝贵的经验和见解，这些经验和见解可以帮助减少加密市场上的黑客攻击事件数量，以及它们对行业的影响规模。

以下是我们的安全专家为其他加密货币提供商编写的实用建议清单，实施这些建议可以显著提高防黑客的能力。

1. 不要忽视网络安全事件，例如试图入侵公司的基础设施、社会工程、网络钓鱼等。这可能是黑客准备进行大规模攻击的迹象。

2. 向员工解释犯罪分子是如何使用虚假的工作邀请、贿赂，甚至请求无害的技术建议来访问公司基础设施的。

3. 为特权用户实施安全实践。

4. 实施职责分离和最小权限的原则。

5. 确保员工工作站的保护。

6. 保持基础设施组件的更新。

7. 划分网络，并在基础设施组件之间实施身份验证和加密。

8. 创建一个独立的安全日志存储来上传所有相关事件。

9. 为基础设施和应用程序中的所有可疑活动设置监控和警报系统。

10. 创建一个诚实的违规者模型，并针对您的企业所承受的威胁和风险采取适当的措施。

11. 跟踪运营余额，并监测其异常移动和行为。

12. 将公司的运营资金减少到必要的最低限度。